Active Directory (AD)je Microsoft proprietární adresářová služba vyvinutá pro doménové sítě Windows. Poprvé byl představen v systému Windows Server 2000 pro centralizovanou správu domén. Nyní je součástí všech následujících operačních systémů Windows Server, což umožňuje správcům sítě vytvářet a spravovat domény, uživatele, objekty, oprávnění a přístup v síti.

AD je skvělý při správě tradiční místní infrastruktury společnosti Microsoft, ale nikoli cloudových prostředí. Cloudová infrastruktura společnosti Microsoft používá službu Azure Active Directory, která slouží stejným účelům jako její místní protějšek. Active Directory a Azure Active Directory jsou odlišné, ale mohou do určité míry spolupracovat, pokud má vaše organizace hybridní nasazení(on-premises a cloud).

rozložení reklamy sleduje stupňovitou strukturu složenou z domén, stromů a lesů. Doména je skupina objektů (například uživatelů nebo zařízení) sdílejících stejnou databázi reklam. Strom je sbírka domén a Les je sbírka stromů. Hlavní službou služby Active Directory jsou služby domény služby Active Directory (AD DS), která je součástí operačního systému Windows Server. Servery, které provozují AD DS, se nazývají řadiče domény (DCs). Některé organizace mají více DC a každá z nich má kopii adresáře pro celou doménu. Aby bylo zajištěno, že DC zůstanou aktuální, změny provedené v adresáři na jednom DC, jako je změna hesla, jsou také replikovány na ostatní DC.

databáze služby Active Directory (adresář) má hierarchickou stromovou strukturu a obsahuje informace o objektech reklamy v doméně. Mezi běžné typy reklamních objektů patří uživatelé, počítače, aplikace, tiskárny a sdílené složky. NTD.dit soubor se používá k ukládání databáze reklam. Databáze je rozdělena do několika sekcí, které obsahují různé typy informací—oddíl schématu (který určuje návrh databáze reklam), konfigurační oddíl (informace o struktuře reklam) a kontext názvů domén (uživatelé, skupiny, objekty tiskárny). Služba Active Directory je úzce integrována se systémovými soubory chráněnými systémem Windows, systémovým registrem řadiče domény, adresářem Sysvol, registrací třídy COM+ a informacemi o službách clusteru. Při plánování strategie zálohování je důležité zvážit takovou integraci, zejména kvůli okamžitému dopadu, který má na reklamu.

potřebujete zálohovat active directory?

Active Directory je jednou z nejdůležitějších součástí v jakékoli síti Windows. Mít žádnou záložní strategii by mohlo ohrozit celou organizaci. Jeho nejlepší praxí je mít více řadičů domény active directory s funkcemi fail-over, takže když selže, budete se moci obnovit i bez zálohy. Nicméně, mít více řadičů domény není dostatečné ospravedlnění pro neprovedení zálohy. Stále byste měli provádět zálohu služby active directory, ať už máte více řadičů domény nebo ne. Více řadičů domény může selhat najednou, může dojít k náhodnému nebo úmyslnému vymazání všech účtů nebo kritických organizačních jednotek (OU), může dojít k poškození celé databáze, viry a ransomware nebo jiná katastrofa by mohla zničit všechny řadiče domény. V takové situaci byste ji museli obnovit ze zálohy. To je důvod, proč je třeba zálohovat.

pravděpodobně nemusíte zálohovat každý řadič domény, abyste získali dobrou zálohu reklamy. Opravdu byste měli zálohovat pouze jeden z řadičů domény. Pokud dojde k selhání řadiče domény, vaší sítě a rozšířením, obchodní aktivity se zastaví. Přestože služby active directory jsou navrženy s vysokou redundancí (pokud jste v síti nasadili několik DC). Je proto důležité vyvinout a implementovat jasné zásady zálohování služby active directory. Pokud máte spuštěno více DCs, musíte zálohovat alespoň jeden z nich. Ideální DC pro zálohování by měl být ten, který provozuje roli Flexible Single Master Operation (FSMO). Díky dobré implementaci strategie zálohování a obnovy se vaše organizace může snadno obnovit po selhání řadičů domény.

pokud je řadič domény služby Active Directory (AD DC) z jakéhokoli důvodu nedostupný, uživatelé se nemohou přihlásit a systémy nemohou správně fungovat, což může způsobit narušení obchodních aktivit. Proto je zálohování služby Active Directory důležité. V tomto článku vám ukážeme, jak zálohovat řadič domény služby Active Directory běžící na systému Windows Server 2019. Než začneme, podíváme se na koncept známý jako zálohování stavu systému a na to, jak ovlivňuje data služby Active Directory.

zálohování stavu systému

Microsoft Windows Server nabízí možnost provést „úplnou“ zálohu nebo „zálohu stavu systému“. Úplná záloha vytvoří kopii systémových jednotek fyzického nebo virtuálního počítače, včetně aplikací, operačních systémů a dokonce i stavu systému. Tuto zálohu lze použít pro obnovu holého kovu—to vám umožní snadno přeinstalovat operační systém a pomocí zálohy obnovit.

zálohování stavu systému na druhé straně vytvoří záložní soubor pro kritické součásti související se systémem. Tento záložní soubor lze použít k obnovení kritických systémových komponent v případě havárie. Služba Active Directory je zálohována jako součást stavu systému na řadiči domény, kdykoli provedete zálohu pomocí zálohy Windows Server, Wbadmin.exe nebo PowerShell. Pro účely této příručky budeme používat zálohování stavu systému, protože nám umožňuje zálohovat pouze komponenty potřebné k obnovení služby Active Directory. Mějte však na paměti, že společnost Microsoft nepodporuje obnovení zálohy stavu systému z jednoho serveru na jiný server jiného modelu nebo hardwarové konfigurace. Záloha stavu systému je nejvhodnější pro obnovení služby Active Directory pouze na stejném serveru.

jak je popsáno dále v této příručce, zálohování systému Windows Server musí být nainstalováno pomocí funkcí ve Správci serverů, než jej budete moci použít k zálohování nebo obnovení serveru. Typ zálohy, který vyberete pro řadiče domény, bude záviset na frekvenci změn služby Active Directory a na datech nebo aplikacích, které mohou být nainstalovány v řadiči domény. Holé minimum, které musíte zálohovat, abyste ochránili základní data služby Active Directory v řadiči domény, je stav systému. Stav systému obsahuje následující seznam a některé další položky v závislosti na nainstalovaných rolích:

• řadič domény: Active Directory DC databázové soubory (NTDS.DIT), spouštěcí soubory & soubory chráněné systémem, databáze registrace třídy COM+, registr, systémový svazek (SYSVOL)
• člen domény: spouštěcí soubory, databáze registrace třídy COM+, registr
• stroj se systémem cluster services: navíc zálohuje metadata serveru clusteru
• stroj se systémem certificate services: dodatečně zálohuje data certifikátu

kromě toho zálohy stavu systému zálohují zóny DNS integrované v Active Directory, ale nebudou zálohovat zóny DNS založené na souborech. Zóny DNS založené na souborech musí být zálohovány jako součást zálohy na úrovni hlasitosti, například zálohování kritického svazku nebo úplné zálohování serveru. Všechny výše uvedené typy záloh lze spustit ručně na vyžádání nebo je lze naplánovat pomocí zálohy systému Windows Server. Můžete použít buď zálohování Windows Server nebo Wbadmin.exe provést zálohu stavu systému řadiče domény pro zálohování služby Active Directory. Společnost Microsoft doporučuje k provádění záloh použít vyhrazený interní disk nebo externí vyměnitelný disk, například pevný disk USB.

operátoři zálohování nemají oprávnění potřebná k naplánování záloh. Abyste mohli naplánovat zálohování nebo obnovení stavu systému, musíte mít administrátorská práva. Zálohování stavu systému je zvláště důležité pro účely obnovy po havárii, protože eliminuje potřebu překonfigurovat systém Windows zpět do původního stavu před selháním systému. Je důležité, abyste vždy měli poslední zálohu stavu systému. Mohou vyžadovat, abyste prováděli pravidelné zálohy stavu systému, abyste zvýšili úroveň ochrany. Doporučujeme provést zálohy stavu systému před a po provedení jakékoli zásadní změny na vašem serveru.

než budete pokračovat v procesu zálohování, musíte vzít na vědomí následující počáteční kroky:

1. je důležité, abyste měli potřebné množství úložného prostoru pro uložení zálohy, kterou se chystáte provést.
2. pokud se chystáte zálohovat, zatímco aplikace, které produkují data, jsou stále spuštěny (což je obvykle případ), musíte nakonfigurovat službu stínové kopie svazku, známou také jako služba snímkování svazku (Vss) na jednotce, aby byla záloha úspěšná. Tato služba pomáhá vytvářet záložní kopie nebo snímky počítačových souborů nebo svazků, i když jsou používány.
3. pokud jste to ještě neudělali, musíte nainstalovat funkci zálohování systému Windows Server. Windows Server 2019 stejně jako předchozí vydání přichází s funkcí zálohování systému Windows Server, která pomáhá provádět zálohy a obnovení databáze služby Active Directory. Nyní podrobně projdeme výše uvedené kroky.

nakonfigurujte službu stínové kopie svazku (Vss)

je důležité zajistit zálohování databáze reklam způsobem, který zachovává konzistenci databáze. Jedním ze způsobů, jak zachovat konzistenci, je zálohovat databázi reklam, když je server ve vypnutém stavu. Zálohování serveru Active Directory ve vypnutém stavu však nemusí být dobrý nápad, pokud server pracuje v režimu 24/7.

z tohoto důvodu společnost Microsoft doporučuje použít službu stínové kopie svazku (Vss) k zálohování serveru se systémem Active Directory. VSS je technologie obsažená v systému Microsoft Windows, která dokáže vytvářet záložní kopie nebo snímky počítačových souborů nebo svazků, i když se používají. Spisovatelé VSS vytvoří snímek, který zmrazí stav systému, dokud není záloha dokončena, aby se zabránilo úpravě aktivních souborů používaných službou Active Directory během procesu zálohování. Tímto způsobem je možné zálohovat běžící server bez ovlivnění jeho výkonu. V této příručce vám ukážeme, jak změnit konfiguraci omezení velikosti stínové kopie na svazku, kam budeme ukládat databázi reklam.

1. Stisknutím kombinace Win+X na klávesnici otevřete Správce disků. Vyberte oddíl, na kterém je server nainstalován, poté na něj klikněte pravým tlačítkem a klikněte na Vlastnosti.

2. Přejděte na kartu stínové kopie a poté klikněte na Povolit, jak je znázorněno na obrázku níže.

3. V dalším okně klikněte na Ano a potvrďte, že chcete povolit stínové kopie, jak je uvedeno níže.

4. Po potvrzení se ve vybraném oddílu zobrazí bod obnovení vytvořený. Pokračujte kliknutím na Nastavení.

5. Na obrazovce nastavení zobrazené níže v části maximální velikost vyberte možnost No limit. Po dokončení klikněte na tlačítko OK a to pro tuto sekci-nakonfigurujte službu stínové kopie svazku (Vss).

nainstalujte funkci zálohování systému Windows Server

zálohování systému Windows Server je nástroj poskytovaný společností Microsoft s Windows Server 2008 a novějšími edicemi. Nahradil nástroj NTBackup, který byl zabudován do systému Windows Server 2003. Zálohování systému Windows Server je funkce, která je instalovatelná v systému Windows Server 2019 stejně jako v jiných předchozích vydáních. Pokud jste tedy funkci zálohování ještě nepoužili, budete ji pravděpodobně muset nejprve nainstalovat. Způsob instalace této funkce je prostřednictvím Správce Serveru.

1. Otevřete konzolu Správce Serveru, jak je znázorněno na obrázku níže.

2. Přejděte na místní Server >> správa karta >> a klikněte na Přidat role a funkce, jak je vidět na obrázku níže. Otevře se Průvodce přidáním rolí a funkcí.

3, na obrazovce Vybrat typ instalace vyberte možnost instalace na základě rolí nebo funkcí a klepněte na tlačítko Další.

4. Na další obrazovce s názvem vybrat cílový server budete muset vybrat server, na který chcete nainstalovat role a funkce. Systém Windows automaticky zobrazí fond serverů. V tomto případě vybereme místní server, který je WD2K19-DC01-mylablocal.

5. Na obrazovce vybrat role serveru musíte vybrat role, které chcete nainstalovat na server. Protože instalujeme funkci, můžete tuto část ignorovat a pokračovat na další obrazovku. Pokračujte kliknutím na další.

6. Na obrazovce vybrat funkce níže přejděte dolů na funkci zálohování systému Windows Server a vyberte ji, jak je vidět na obrázku níže. Pokračujte kliknutím na další.

7. Na obrazovce potvrdit výběr instalace se ujistěte, že je na obrazovce Funkce zálohování systému Windows Server a klepnutím na tlačítko Instalovat zahájíte instalaci.

funkce zálohování systému Windows Server se začne instalovat na místní server. Po dokončení instalace konzolu zavřete kliknutím na tlačítko Zavřít.

Zálohujte databázi služby Active Directory

1. Nyní přejděte do Správce Serveru a klikněte na Nástroje >> zálohování systému Windows Server, abyste jej otevřeli. Tuto konzolu můžete také otevřít spuštěním příkazu wbadmin.msc při spuštění systému Windows (Ctrl + R). Jakmile se otevře, uvidíte stav naplánované a poslední zálohy (pokud to není poprvé, co to děláte.)

2. Jakmile se záloha serveru otevře, klikněte jednou na zálohování a iniciujte ruční zálohování databáze reklam. Přestože můžete také vytvořit automatické naplánované zálohy kliknutím na plán zálohování, v této příručce vytvoříme ruční zálohu.

3. V části Možnosti zálohování Vyberte různé možnosti a klikněte na tlačítko Další tato možnost se používá tam, kde není naplánovaná záloha.

4. Na obrazovce vybrat konfiguraci zálohování máte dvě možnosti:

• • Full Server zálohuje všechna data serveru, aplikace a stav systému
  • Vlastní umožňuje vybrat, co chcete zálohovat.

protože chceme pouze zálohovat active directory, zvolíme druhou možnost. Vyberte možnost Vlastní a klikněte na další.

5. Na obrazovce vybrat položky pro zálohování zadejte položky, které chcete zahrnout do zálohy. V této záloze vybereme položku Zálohování stavu systému. Chcete-li to provést, klikněte na tlačítko Přidat položky >> vyberte možnost Stav systému >> a klikněte na tlačítko Ok pro dokončení procesu.

6. Nyní povolíme službu stínové kopie svazku pro tuto záložní položku. Tím se zabrání úpravě reklamních dat během probíhající zálohy. Chcete-li povolit VSS, klikněte na Upřesnit nastavení >> Vss nastavení >> vyberte Vss úplné zálohování a klikněte na Ok. Plná záloha VSS je doporučená volba, pokud je to vaše první záloha a nepoužíváte žádný nástroj pro zálohování třetích stran. Tato možnost umožňuje vytvořit zálohu všech souborů. Je to také preferovaná metoda pro přírůstkové zálohy, protože neovlivňuje sekvenci zálohování.

7. Na další obrazovce budete muset zadat typ cíle zálohování-místní jednotky nebo vzdálená sdílená složka. Pro účely této demonstrace používáme k uložení zálohy místní pevný disk. Vyberte tedy místní jednotky a klikněte na další.

8. Na obrazovce vybrat cíl zálohování můžete vybrat skutečný oddíl, kam chcete zálohu uložit. Po dokončení klikněte na další a přejděte na další obrazovku.

9. Potvrzovací obrazovka umožňuje znovu zkontrolovat, zda jsou všechny parametry zálohování správně nakonfigurovány. Jakmile je dobré jít, klikněte na tlačítko Zálohování. Zálohování by mělo nějakou dobu trvat v závislosti na velikosti serveru řadiče domény. Po úspěšném dokončení zálohy můžete Průvodce zálohováním zavřít.

pokud jste zavřeli Průvodce zálohováním, aniž byste čekali na stav poslední zprávy, bude záloha nadále spuštěna na pozadí. Můžete také potvrdit stav a výsledky dokončení zálohy z konzoly webadmin (nebo funkce zálohování systému Windows Server). Konzola zobrazí zprávu s informacemi z této zálohy (a dalších).

závěr

podrobně jsme vysvětlili, jak zálohovat Active Directory pomocí zálohy systému Windows Server. Použili jsme ruční přístup“ zálohování jednou“, ale samozřejmě můžete také nakonfigurovat „plán zálohování“ pro spouštění pravidelných úloh zálohování reklam.

jak již bylo zmíněno, funkce zálohování systému Windows Server je snadno použitelný bezplatný nástroj, který je dodáván ve většině operačních systémů Windows Server a může pracovat s VSS pro provádění úplných nebo systémových záloh. Existuje však také spousta nástrojů pro zálohování služby Active Directory třetích stran, které můžete použít. Ve skutečnosti by téměř každá zálohovací služba na podnikové úrovni měla být schopna zálohovat službu Active Directory s malými nebo žádnými obtížemi. Rozdíl mezi všemi těmito nástroji spočívá hlavně ve způsobu, jakým některé z nich poskytují více možností, zejména pokud jde o zálohování a obnovení služby Active Directory.